Virus ou spyware, analyse de mon hijack this Fermé

Question

Bonjour, j'ai attraper une fausse alerte securite qui me change ma page de demarrage IE par bestwebslinks !!! avec adware il me trouve les meme spyware mais il revienne a chaque fois!!! Je pense que c'est un smitfraud, mais j'arrive pas a redemarrer en mode sans echec pour l'enlever!!!
Voici mon log Hijack This:

Logfile of HijackThis v1.99.1
Scan saved at 14:43:21, on 18/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\program files\ComputerAssociates\Etrust\Antivirus\InoRpc.exe
C:\program files\ComputerAssociates\Etrust\Antivirus\InoRT.exe
C:\program files\ComputerAssociates\Etrust\Antivirus\InoTask.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\Program Files\CA_LIC\LogWatNT.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Vision64\bin\v64wwtch.exe
C:\Vision64\bin\v64wrcsv.exe
C:\Vision64\bin\v64wamag.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Softex\winroute\WinRServ.exe
C:\WINNT\System32\mspmspsv.exe
C:\Program Files\Softex\winroute\WinRoute.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\shnlog.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINNT\system32\intmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\guillaume\perso\Nouveau dossier (2)\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.intranet.eurovia.com/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hpDFFF.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [Iomega Active Disk] C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU\..\Run: [windll32.exe] C:\WINNT\System32\windll32.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Save Flash by &GetFlash - C:\PROGRA~1\GETFLASH\getflash.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eurovia.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{56BBB1D2-DDE0-4921-B29A-6A5FEF8424F5}: Domain = eurovia.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eurovia.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eurovia.fr
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\System32\drivers\CDAC11BA.EXE
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA_LIC\lic98rmtd.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\program files\ComputerAssociates\Etrust\Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\program files\ComputerAssociates\Etrust\Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\program files\ComputerAssociates\Etrust\Antivirus\InoTask.exe
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
O23 - Service: IomegaAccess - Iomega Corporation - C:\WINNT\System32\IomegaAccess.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA_LIC\LogWatNT.exe
O23 - Service: OracleClientCache80 - Unknown owner - c:\oracle8\BIN\ONRSD80.EXE
O23 - Service: V64 active management agent - Unknown owner - C:/Vision64/bin/v64wwtch.exe" "C:/Vision64/bin/v64wamag.exe" /Service (file missing)
O23 - Service: Vision64 Web Remote Control - Unknown owner - C:\Vision64\bin\v64wrcsv.exe" -SERVICE (file missing)
O23 - Service: Softex WinRoute Service (WinRServ) - Unknown owner - C:\Program Files\Softex\winroute\WinRServ.exe
O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe

Je vous poste aussi un log smitfraudfix:

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32

C:\WINNT\system32\hhk.dll PRESENT !
C:\WINNT\system32\hp????.tmp PRESENT !
C:\WINNT\system32\intmon.exe PRESENT !
C:\WINNT\system32\shnlog.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32\LogFiles

Merci d'avance de votre aide!!

jean38 · Answer

salut,lance l'option 2 du fix et accepte tout.redemarre et refait un log hijack.A+

Utilisateur anonyme · Answer

salut jean,le fix est conseiller de le faire en mode sans echec :-)Retiens lea+

jean38 · Answer

je te remercie, je l'avais preconisé au depart avec la confirmation de Moe (retiens le... lol). j'ai juste oublié de le signalé merci de ta remarque.Amitiés Jean

dass · Answer

Voici mon log apres l'option 2 du fix que j'ai du faire en mode normal car je n'arrive pas a redemarrer en mode sans echec comme c le pc du boulot!! merci jean!!

Logfile of HijackThis v1.99.1
Scan saved at 16:48:56, on 18/08/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\program files\ComputerAssociates\Etrust\Antivirus\InoRpc.exe
C:\program files\ComputerAssociates\Etrust\Antivirus\InoRT.exe
C:\program files\ComputerAssociates\Etrust\Antivirus\InoTask.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\Program Files\CA_LIC\LogWatNT.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Vision64\bin\v64wwtch.exe
C:\Vision64\bin\v64wrcsv.exe
C:\Vision64\bin\v64wamag.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Softex\winroute\WinRServ.exe
C:\WINNT\System32\mspmspsv.exe
C:\Program Files\Softex\winroute\WinRoute.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\shnlog.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINNT\webshots.scr
C:\WINNT\system32\intmon.exe
D:\guillaume\perso\Nouveau dossier (2)\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.intranet.eurovia.com/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hpF452.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [Iomega Active Disk] C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU\..\Run: [windll32.exe] C:\WINNT\System32\windll32.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Save Flash by &GetFlash - C:\PROGRA~1\GETFLASH\getflash.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eurovia.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{56BBB1D2-DDE0-4921-B29A-6A5FEF8424F5}: Domain = eurovia.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eurovia.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eurovia.fr
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\System32\drivers\CDAC11BA.EXE
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA_LIC\lic98rmtd.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\program files\ComputerAssociates\Etrust\Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\program files\ComputerAssociates\Etrust\Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\program files\ComputerAssociates\Etrust\Antivirus\InoTask.exe
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
O23 - Service: IomegaAccess - Iomega Corporation - C:\WINNT\System32\IomegaAccess.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA_LIC\LogWatNT.exe
O23 - Service: OracleClientCache80 - Unknown owner - c:\oracle8\BIN\ONRSD80.EXE
O23 - Service: V64 active management agent - Unknown owner - C:/Vision64/bin/v64wwtch.exe" "C:/Vision64/bin/v64wamag.exe" /Service (file missing)
O23 - Service: Vision64 Web Remote Control - Unknown owner - C:\Vision64\bin\v64wrcsv.exe" -SERVICE (file missing)
O23 - Service: Softex WinRoute Service (WinRServ) - Unknown owner - C:\Program Files\Softex\winroute\WinRServ.exe
O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\System32\ZipToA.exe

jean38 · Answer

il faut que tu le fasses en mode sans echec imperativement

relance
demarre en mode sans echec.
Soit tu tapotte sur la touche F8 au lancement de Windows juste après l'écran du bios, et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran) si F8 fonctionne pas essaie F5.

4) relance le prog

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

choisi l'option 2 et accepte tout.

copie le log ensuite.

5)redemarre

lance Hijack puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.

A+

dass · Answer

J'ai deja fait avec F8 mais j'ai un ecran bleu qui apparait "si c la premiere fois que vous voyez cet ecran redemarrez etc..." et il va pas plus loin!!
Je pense que c'est du au fait que je sois sur un réseau d'entreprise!

jean38 · Answer

peut etre mais faut y arriver.

essaie (je ne sais pas si les menus sont identique dans win 2000 que XP)

fait:

menu demarrer
selectionne executer
tape msconfig
chosi l'onglet BOOT.INIT
coche /SAFEBOOT
Clique sur appliquer puis OK

puis redemarre.

t'inquiéte pas de l'etrangeté de l'affichage c'est normal.

ATTENTION

a la fin de la manip retourne

menu demarrer
selectionne executer
tape msconfig
chosi l'onglet BOOT.INIT
décoche /SAFEBOOT
Clique sur appliquer puis OK
sinon tu redemarres toujours en mode sans echec.

dass · Answer

J'arrive pas à aller dans msconfig (il me dit qu'il est introuvable)!

Virus ou spyware, analyse de mon hijack this

8 réponses

Discussions similaires